浅谈SRC漏洞批量挖掘思路

wangqiang

​ 浅谈SRC漏洞批量挖掘思路
dota_st 潇湘信安
2023-02-09 08:30 发表于湖南
转载自：浅谈SRC漏洞批量挖掘思路

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。           请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0x01 前言
在接触src之前，我和很多师傅都有同一个疑问，就是那些大师傅是怎么批量挖洞的？摸滚打爬了两个月之后，我渐渐有了点自己的理解和经验，
所以打算分享出来和各位师傅交流，不足之处还望指正。

0x02 漏洞举例
这里以前几天爆出来的用友nc的命令执行漏洞为例
http://xxx.xxxx.xxxx.xxxx/servlet//~ic/bsh.servlet.BshServlet

​

文本框里可以命令执行

​

0x03 漏洞的批量检测
在知道这个漏洞详情之后，我们需要根据漏洞的特征去fofa里寻找全国范围里使用这个系统的网站，比如用友nc在fofa的搜索特征就是

app="用友-UFIDA-NC"

​

可以看到一共有9119条结果，接下来我们需要采集所有站点的地址下来，这里推荐狼组安全团队开发的fofa采集工具fofa-viewer
https://github.com/wgpsec/fofa_viewer

​

然后导出所有站点到一个txt文件中。

根据用友nc漏洞命令执行的特征，我们简单写一个多线程检测脚本

1. #-- coding:UTF-8 --
   
2. # Author:dota_st
   
3. # Date:2021/5/10 9:16
   
4. # blog: www.wlhhlc.top
   
5. import requests
   
6. import threadpool
   
7. import os
   
8. 
   
9. def exp(url):
   
10.     poc = r"""/servlet//~ic/bsh.servlet.BshServlet"""
    
11.     url = url + poc
    
12.     try:
    
13.         res = requests.get(url, timeout=3)
    
14.         if "BeanShell" in res.text:
    
15.             print("[*]存在漏洞的url：" + url)
    
16.             with open ("用友命令执行列表.txt", 'a') as f:
    
17.                 f.write(url + "\n")
    
18.     except:
    
19.         pass
    
20. 
    
21. def multithreading(funcname, params=[], filename="yongyou.txt", pools=10):
    
22.     works = []
    
23.     with open(filename, "r") as f:
    
24.         for i in f:
    
25.             func_params = [i.rstrip("\n")] + params
    
26.             works.append((func_params, None))
    
27.     pool = threadpool.ThreadPool(pools)
    
28.     reqs = threadpool.makeRequests(funcname, works)
    
29.     [pool.putRequest(req) for req in reqs]
    
30.     pool.wait()
    
31. 
    
32. def main():
    
33.     if os.path.exists("用友命令执行列表.txt"):
    
34.         f = open("用友命令执行列表.txt", 'w')
    
35.         f.truncate()
    
36.     multithreading(exp, [], "yongyou.txt", 10)
    
37. 
    
38. if __name__ == '__main__':
    
39.     main()

复制代码

​

运行完后得到所有漏洞站点的txt文件

​

0x04 域名和权重的批量检测
在我们提交补天等漏洞平台时，不免注意到有这么一个规则，公益漏洞的提交需要满足站点的百度权重或者移动权重大于等于1，亦或者谷歌权重
大于等于3的条件，补天漏洞平台以爱站的检测权重为准

​

首先我们需要对收集过来的漏洞列表做一个ip反查域名，来证明归属，我们用爬虫写一个批量ip反查域名脚本，这里用了ip138和爱站两个站点来进行ip反查域名
因为多线程会被ban，目前只采用了单线程

1. #-- coding:UTF-8 --
   
2. # Author:dota_st
   
3. # Date:2021/6/2 22:39
   
4. # blog: www.wlhhlc.top
   
5. import re, time
   
6. import requests
   
7. from fake_useragent import UserAgent
   
8. from tqdm import tqdm
   
9. import os
   
10. # ip138
    
11. def ip138_chaxun(ip, ua):
    
12.     ip138_headers = {
    
13.         'Host': 'site.ip138.com',
    
14.         'User-Agent': ua.random,
    
15.         'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
    
16.         'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
    
17.         'Accept-Encoding': 'gzip, deflate, br',
    
18.         'Referer': 'https://site.ip138.com/'}
    
19.     ip138_url = 'https://site.ip138.com/' + str(ip) + '/'
    
20.     try:
    
21.         ip138_res = requests.get(url=ip138_url, headers=ip138_headers, timeout=2).text
    
22.         if '<li>暂无结果</li>' not in ip138_res:
    
23.             result_site = re.findall(r"""</span><a href="/(.*?)/" target="_blank">""", ip138_res)
    
24.             return result_site
    
25.     except:
    
26.         pass
    
27. 
    
28. # 爱站
    
29. def aizhan_chaxun(ip, ua):
    
30.     aizhan_headers = {
    
31.         'Host': 'dns.aizhan.com',
    
32.         'User-Agent': ua.random,
    
33.         'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
    
34.         'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
    
35.         'Accept-Encoding': 'gzip, deflate, br',
    
36.         'Referer': 'https://dns.aizhan.com/'}
    
37.     aizhan_url = 'https://dns.aizhan.com/' + str(ip) + '/'
    
38.     try:
    
39.         aizhan_r = requests.get(url=aizhan_url, headers=aizhan_headers, timeout=2).text
    
40.         aizhan_nums = re.findall(r'''<span class="red">(.*?)</span>''', aizhan_r)
    
41.         if int(aizhan_nums[0]) > 0:
    
42.             aizhan_domains = re.findall(r'''rel="nofollow" target="_blank">(.*?)</a>''', aizhan_r)
    
43.             return aizhan_domains
    
44.     except:
    
45.         pass
    
46. 
    
47. 
    
48. def catch_result(i):
    
49.     ua_header = UserAgent()
    
50.     i = i.strip()
    
51.     try:
    
52.         ip = i.split(':')[1].split('//')[1]
    
53.         ip138_result = ip138_chaxun(ip, ua_header)
    
54.         aizhan_result = aizhan_chaxun(ip, ua_header)
    
55.         time.sleep(1)
    
56.         if ((ip138_result != None and ip138_result!=[]) or aizhan_result != None ):
    
57.             with open("ip反查结果.txt", 'a') as f:
    
58.                 result = "[url]:" + i + "   " + "[ip138]:" + str(ip138_result) + "  [aizhan]:" + str(aizhan_result)
    
59.                 print(result)
    
60.                 f.write(result + "\n")
    
61.         else:
    
62.             with open("反查失败列表.txt", 'a') as f:
    
63.                 f.write(i + "\n")
    
64.     except:
    
65.         pass
    
66. 
    
67. if __name__ == '__main__':
    
68.     url_list = open("用友命令执行列表.txt", 'r').readlines()
    
69.     url_len = len(open("用友命令执行列表.txt", 'r').readlines())
    
70.     #每次启动时清空两个txt文件
    
71.     if os.path.exists("反查失败列表.txt"):
    
72.         f = open("反查失败列表.txt", 'w')
    
73.         f.truncate()
    
74.     if os.path.exists("ip反查结果.txt"):
    
75.         f = open("ip反查结果.txt", 'w')
    
76.         f.truncate()
    
77.     for i in tqdm(url_list):
    
78.         catch_result(i)

复制代码

运行结果：

​

然后拿到解析的域名后，就是对域名权重进行检测，这里采用爱站来进行权重检测，继续写一个批量检测脚本

1. #-- coding:UTF-8 --
   
2. # Author:dota_st
   
3. # Date:2021/6/2 23:39
   
4. # blog: www.wlhhlc.top
   
5. import re
   
6. import threadpool
   
7. import urllib.parse
   
8. import urllib.request
   
9. import ssl
   
10. from urllib.error import HTTPError
    
11. import time
    
12. import tldextract
    
13. from fake_useragent import UserAgent
    
14. import os
    
15. import requests
    
16. ssl._create_default_https_context = ssl._create_stdlib_context
    
17. 
    
18. bd_mb = []
    
19. gg = []
    
20. global flag
    
21. flag = 0
    
22. 
    
23. #数据清洗
    
24. def get_data():
    
25.     url_list = open("ip反查结果.txt").readlines()
    
26.     with open("domain.txt", 'w') as f:
    
27.         for i in url_list:
    
28.             i = i.strip()
    
29.             res = i.split('[ip138]:')[1].split('[aizhan]')[0].split(",")[0].strip()
    
30.             if res == 'None' or res == '[]':
    
31.                 res = i.split('[aizhan]:')[1].split(",")[0].strip()
    
32.             if res != '[]':
    
33.                 res = re.sub('[\'\[\]]', '', res)
    
34.                 ext = tldextract.extract(res)
    
35.                 res1 = i.split('[url]:')[1].split('[ip138]')[0].strip()
    
36.                 res2 = "http://www." + '.'.join(ext[1:])
    
37.                 result = '[url]:' + res1 + '\t' + '[domain]:' + res2
    
38.                 f.write(result + "\n")
    
39. 
    
40. def getPc(domain):
    
41.     ua_header = UserAgent()
    
42.     headers = {
    
43.         'Host': 'baidurank.aizhan.com',
    
44.         'User-Agent': ua_header.random,
    
45.         'Sec-Fetch-Dest': 'document',
    
46.         'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
    
47.         'Cookie': ''
    
48.     }
    
49.     aizhan_pc = 'https://baidurank.aizhan.com/api/br?domain={}&style=text'.format(domain)
    
50.     try:
    
51.         req = urllib.request.Request(aizhan_pc, headers=headers)
    
52.         response = urllib.request.urlopen(req,timeout=10)
    
53.         b = response.read()
    
54.         a = b.decode("utf8")
    
55.         result_pc = re.findall(re.compile(r'>(.*?)</a>'),a)
    
56.         pc = result_pc[0]
    
57.         
    
58.     except HTTPError as u:
    
59.         time.sleep(3)
    
60.         return getPc(domain)
    
61.     return pc
    
62. 
    
63. def getMobile(domain):
    
64.     ua_header = UserAgent()
    
65.     headers = {
    
66.         'Host': 'baidurank.aizhan.com',
    
67.         'User-Agent': ua_header.random,
    
68.         'Sec-Fetch-Dest': 'document',
    
69.         'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
    
70.         'Cookie': ''
    
71.     }
    
72.     aizhan_pc = 'https://baidurank.aizhan.com/api/mbr?domain={}&style=text'.format(domain)
    
73.     try:
    
74.         req = urllib.request.Request(aizhan_pc, headers=headers)
    
75.         response = urllib.request.urlopen(req,timeout=10)
    
76.         b = response.read()
    
77.         a = b.decode("utf8")
    
78.         result_m = re.findall(re.compile(r'>(.*?)</a>'),a)
    
79.         mobile = result_m[0]
    
80.     except HTTPError as u:
    
81.         time.sleep(3)
    
82.         return getMobile(domain)
    
83. 
    
84.     return mobile
    
85. # 权重查询
    
86. def seo(domain, url):
    
87.     try:
    
88.         result_pc = getPc(domain)
    
89.         result_mobile = getMobile(domain)
    
90.     except Exception as u:
    
91.         if flag == 0:
    
92.             print('[!] 目标{}检测失败，已写入fail.txt等待重新检测'.format(url))
    
93.             print(domain)
    
94.             with open('fail.txt', 'a', encoding='utf-8') as o:
    
95.                 o.write(url + '\n')
    
96.         else:
    
97.             print('[!!]目标{}第二次检测失败'.format(url))
    
98.     result = '[+] 百度权重:'+ result_pc +'  移动权重:'+ result_mobile +'  '+url
    
99.     print(result)
    
100.     if result_pc =='0' and result_mobile =='0':
     
101.         gg.append(result)
     
102.     else:
     
103.         bd_mb.append(result)
     
104. 
     
105.     return True
     
106. 
     
107. def exp(url):
     
108.     try:
     
109.         main_domain = url.split('[domain]:')[1]
     
110.         ext = tldextract.extract(main_domain)
     
111.         domain = '.'.join(ext[1:])
     
112.         rew = seo(domain, url)
     
113.     except Exception as u:
     
114.         pass
     
115. 
     
116. def multithreading(funcname, params=[], filename="domain.txt", pools=15):
     
117.     works = []
     
118.     with open(filename, "r") as f:
     
119.         for i in f:
     
120.             func_params = [i.rstrip("\n")] + params
     
121.             works.append((func_params, None))
     
122.     pool = threadpool.ThreadPool(pools)
     
123.     reqs = threadpool.makeRequests(funcname, works)
     
124.     [pool.putRequest(req) for req in reqs]
     
125.     pool.wait()
     
126. 
     
127. def google_simple(url, j):
     
128.     google_pc = "https://pr.aizhan.com/{}/".format(url)
     
129.     bz = 0
     
130.     http_or_find = 0
     
131.     try:
     
132.         response = requests.get(google_pc, timeout=10).text
     
133.         http_or_find = 1
     
134.         result_pc = re.findall(re.compile(r'<span>谷歌PR：</span><a>(.*?)/></a>'), response)[0]
     
135.         result_num = result_pc.split('alt="')[1].split('"')[0].strip()
     
136.         if int(result_num) > 0:
     
137.             bz = 1
     
138.         result = '[+] 谷歌权重:' + result_num + '  ' + j
     
139.         return result, bz
     
140.     except:
     
141.         if(http_or_find !=0):
     
142.             result = "[!]格式错误:" + "j"
     
143.             return result, bz
     
144.         else:
     
145.             time.sleep(3)
     
146.             return google_simple(url, j)
     
147. 
     
148. def exec_function():
     
149.     if os.path.exists("fail.txt"):
     
150.         f = open("fail.txt", 'w', encoding='utf-8')
     
151.         f.truncate()
     
152.     else:
     
153.         f = open("fail.txt", 'w', encoding='utf-8')
     
154.     multithreading(exp, [], "domain.txt", 15)
     
155.     fail_url_list = open("fail.txt", 'r').readlines()
     
156.     if len(fail_url_list) > 0:
     
157.         print("*"*12 + "正在开始重新检测失败的url" + "*"*12)
     
158.         global flag
     
159.         flag = 1
     
160.         multithreading(exp, [], "fail.txt", 15)
     
161.     with open("权重列表.txt", 'w', encoding="utf-8") as f:
     
162.         for i in bd_mb:
     
163.             f.write(i + "\n")
     
164.         f.write("\n")
     
165.         f.write("-"*25 + "开始检测谷歌的权重" + "-"*25 + "\n")
     
166.         f.write("\n")
     
167.         print("*" * 12 + "正在开始检测谷歌的权重" + "*" * 12)
     
168.         for j in gg:
     
169.             main_domain = j.split('[domain]:')[1]
     
170.             ext = tldextract.extract(main_domain)
     
171.             domain = "www." + '.'.join(ext[1:])
     
172.             google_result, bz = google_simple(domain, j)
     
173.             time.sleep(1)
     
174.             print(google_result)
     
175.             if bz == 1:
     
176.                 f.write(google_result + "\n")
     
177.     print("检测完成，已保存txt在当前目录下")
     
178. def main():
     
179.     get_data()
     
180.     exec_function()
     
181. 
     
182. if __name__ == "__main__":
     
183.     main()

复制代码

​

​

​

0x05 漏洞提交
最后就是一个个拿去提交漏洞了

​

0x06 结尾
文中所写脚本还处于勉强能用的状态，后续会进行优化更改。师傅们如有需要也可选择自行更改。​​​​​​​
文章来源：dota_st博客原文地址：https://www.wlhhlc.top/posts/997/​